ISO27001LA 信息安全管理体系主任审核师学习心得

天气不冷不热刚刚好的五月，绿意也葱葱，上海信息化培训中心ISO27001LA开班啦！这个班除了可以称为是信息安全管理体系主任审核师培训班外，还可以叫“学友再次联盟班”，特别有缘，本期的5名学友，其中3名学友在第一天上课时竟然发现之前一起参加过CISA(国际信息系统审计师)和CBCP(国际业务持续性管理专家)，老同学见面，气氛很快活跃起来，新加入的2名新学员也受到感染，大家像老朋友一样介绍，很快的营造了轻松、自在的学习环境。

为学员们上课的是台湾Tiger 老师，与上海信息化培训中心已经合作15年，是IRCA的注册讲师，曾任德国TUV亚太区总裁，被评为亚太地区最佳讲师。课程开始前，Tiger老师做了自我介绍和课程介绍以及IRCA认可的培训组织， 例如ISMS(ISO/IEC27001:2013)、ITSMS(ISO/IEC20000-1:2001)等。Tiger老师在介绍自己以及IRCA之后，提出让学员以Icebreak“破冰之旅”的形式自我介绍，学员俩俩配对，相互介绍自己现在从事的工作，为什么想来进修ISO27001LA, 以及对ISO27001LA的理解程度有多少，学员按照老师的要求，开始相互自我介绍，迅速进入培训状态。

1. ISO27001LA到底讲什么，能够帮助企业解决什么问题？

ISO27001体系自国际标准化组织颁布为国际标准ISO 27001:2005，成为“信息安全管理”之国际通用语言，于2013年9月27日更新改版为ISO27001: 2013，与ISO 9000和ISO 20000结合更加紧密。ISO27001已被全球一万八千多家政府机构和知名企业所采用。其方法是通过“风险评估”、“风险管理”切入企业的信息安全需求，有效降低企业面临的风险。在ISO27001:2005中有11个领域133个控制点，而在ISO27001:2013中有14个领域114个控制点（删除了旧版中39个控制点，新增了20个控制点），组织拥有ISO27001LA的员工，可以：

l 培养组织合格的审计工作者

l 科学评估组织信息资产，提高安全工作效率,为组织商业运作提供更有效的服务；

l 保护信息不受各种威胁，建立缜密的灾难恢复计划，确保业务连续性和减少业务损失；

l 评估与安全相关的管理政策、程序、实务，形成“信息安全、人人有责”的企业文化；

l 表征组织信息安全管理能力，做好注册准备工作，获得客户充分信任。

2. ISO27001LA课程适合怎样的客户企业?

建立信息安全管理体系（ISMS）已成为各种组织，特别是高科技产业、金融机构等管理运营风险不可缺少的重要机制。在某些行业，如软件外包，ISO27001认证已经成为客户要求必备条件。个人成为ISO27001LA(IRCA)权威注册审核员需要参加IRCA认可的培训课程并积累审核经验：这个审核经验可以是第二方，也可以是第三方的审核经验。对于非IRCA认可的课程，须证明培训满足要求。IRCA是独立机构，若得到IRCA认可，那就意味着个人不只是某个审核机构或单位的审核员，还是IRCA国际认可的审核员，受到所有审核机构和审核单位的认可，价值更高。未受IRCA认可的培训和证书只受该机构认可，而IRCA认可的证书和培训国际认可。

3. 企业中怎样的人群需要学习ISO27001LA?

ISO27001LA适合有兴趣导入ISO27001与信息技术服务管理系统的企业人员；信息技术服务管理系统审核员（想要精进审核技巧）；顾问师（想要从事ISO 27001信息技术服务管理系统导入、验证辅导）；信息技术与质量专家

参加ISO27001LA学员应有信息技术服务或信息技术服务管理的经验、ISO 27001基本知识、信息技术服务管理系统的基本概念, 在SITC 学习ISO27001LA可以为个人带来的收益为：

l 深入理解ISO27001\ISO27002等相关条文；

l 掌握建立和实施ISMS的过程和方法；

l 掌握审核和监控ISMS的知识和技巧；

l 获得IRCA认可的ISO27001LA证书；

l 加入SITC校友圈，优先参与校友活动

4. ISO27001LA课程整体框架是什么？

下图为ISO27001LA的课程整体框架

ISO 27001:2013相对于ISO 27001: 2005从结构到细节都有很多变化，兼容性和灵活性都有所增强，比较引人注目的包括如下几点：

a.篇章结构：在篇章结构上与ISO管理体系标准模板AnnexSL (previously ISO Guide 83) 保持一致，在风险管理原则上与ISO31000风险管理标准保持一致。这样在实践上与ISO9000, ISO20000，ISO22301等标准体系更容易集成整合。

0 Introduction

1 Scope

2 Normative references

3 Terms anddefinitions

4 Context of theorganization

5 Leadership

6 Planning

7 Support

8 Operation

9 Performanceevaluation

10 Improvement

b. 域和控制项：从2005版11个域133个控制项优化调整为14个域114个控制项。使用的控制项根据风险处置流程来确定，不在要求一定从附录A中选。附录A罗列的114个控制项的意义在提供cross-check 确保不遗漏必要的控制措施。

c. 风险评估和处置方法论：资产、脆弱点和威胁（Assets, vulnerabilities and threats）不再要求为风险评估的基础。无论哪种风险识别方法，只要能识别风险相关的 CIA(confidentiality, integrity and availability)。asset owner 被“risk owners” 概念取代，责任相应上移。

d. 持续改进方法论：可以使用PDCA之外的方法论

5. 当期学员参加ISO27001LA原因汇总

其实前面提到，上课之前，Tiger老师有让学员介绍自己参加ISO27001LA原因。

赢创化学的陈学员说自己在公司已经10年多，之前从事IT，12年后调至业务部门，之前已经参加过05版的ISO27001LA，现在想了解升级改版后的ISO27001LA与之前有什么不同。

三菱银行的学员表示，目前公司尚未建立信息安全标准，想了解关于这块的最新情况。

上汽通用沈阳分公司的学员表示，目前自己接手信息安全还不到1年，今年8月公司需要建设自己的信息安全标准，想通过培训学习，提高专业知识。

浦发硅谷的学员表示，自己目前从事项目管理工作，学习ISO27001LA肯定对现在从事的工作有帮助。

可以看到，无论是与现在自己的工作相关，或者是为了了解该领域的理论知识，就像Tiger老师开场时说过：信息安全课程改变自己生涯，在最初学习信息安全课程的学员现在已是行业内大牛，现在还未晚，一直都不会晚。